В уcлoвиях кoнкурентнoй бoрьбы и быcтрых темпoв развития разрабатываемых кoмплекcoв кoмпании-разрабoтчики cтавят на первoе меcтo задачу защиты cвoей интеллектуальнoй coбcтвеннocти в cocтаве прoграммнoгo кoда.
За поcледние неcколько лет развитие аппаратно-программных вcтраиваемых cиcтем и их применения в новых облаcтях идёт очень быcтрыми темпами. Новейшие поколения таких решений применяютcя в контроллерах бытовой техники, телекоммуникационных cистемах, энергетической, инженерной, нефтегазовой и других отраслях. Всё больше промышленных проектов основывается на применении встроенных программных комплексов или базируются на готовых компьютерах, разработанных для технологически узконаправленных целей.
По оценкам аналитиков (VDMA), около 40%-50% промышленных решений Европейского Союза подвержены воздействию киберпреступников и незаконному изъятию интеллектуальной собственности (“ноу-хау”) методами обратной разработки . В дополнение к специализированному программному обеспечению с уникальными частями кода промышленные системы могут содержать в программных продуктах такие важные данные, как отчёты, служебные записи и документы, которые имеют конкурентоспособное значение для целых направлений рынка. Весь этот интеллектуальный капитал обязан быть защищённым от киберпреступников и попадания на серый рынок программных и аппаратных продуктов.
От задач к компромиссам
Наилучшим решением задачи комплексной защиты программного обеспечения и сопутствующей важной информации является применение аппаратных средств, которые уже давно зарекомендовали себя в серверных средах и пользовательских ПК. Говоря о вопросе применения таких систем на встраиваемых и промышленных решениях, сразу стоит отметить ряд задач, которые до последнего времени были неразрешимыми для владельцев защищаемых программных комплексов и разработчиков средств защиты. Основные приоритетные факторы берут своё начало из повседневных задач программистов и разработчиков в компаниях:
- • поддержка операционных систем Windows Embedded, Windows CE, VxWorks и систем реального времени на базе Linux ядра;
- • возможность гибкой интеграции с готовыми программами, которые используются уже в настоящее время;
- • возможность внедрения защиты в существующие системы разработки на стадии проектирования программных компонентов;
- • максимальная надёжность посредством выполнения критериев прочности, управления, температурных параметров, неизменяемых спецификаций материалов исполнения аппаратной части защиты и отсутствие возможности бесконтрольного изменения прошивки устройства.
Уникальность или универсальность?
Активно играя на рынке, компании-производители аппаратных средств защиты предлагают применять свои продукты в сфере промышленных систем без какой-либо доработки или обновления. Такой подход негативно сказывается на отношении разработчиков программного обеспечения. Даже по самым минимальным критериям такие решения не подходят для индустриальных задач.
Основным противоречием в такой политике активных продаж является невозможность выполнения основополагающего критерия аппаратных средств – универсальности, ведь даже сам спектр задач промышленных систем не позволяет объединять подобные проекты в категории шаблонных вариантов защиты.
Ситуация складывается таким образом, что отлично оправдывавшие себя до недавнего времени аппаратные средства защиты в секторе настольных ПК и серверных решений оказываются неприменимыми и бесполезными в областях промышленности. Желание разработчиков максимально быстро реализовать аппаратные ключи ставит программистов перед огромным числом порой неразрешимых противоречий внедрения. Базовый функционал, который успешно применяется на домашних ПК, полностью отказывается работать на встраиваемых системах или даже мешает успешному внедрению защиты.
Инновации не только в работе
Одним из важнейших событий за последние пять лет в сфере защиты промышленных решений может стать появление нового поколения аппаратных средств, выполненных по индустриальным стандартам в форм-факторах мобильных карт. Новый вид аппаратных решений, претерпев запланированные изменения в соответствии с новыми задачами, предлагает разработчикам не универсальный продукт с ограниченными рамками, а средство разработки с открытым набором функций и параметров. Уже сегодня разработчик в праве выбирать не только программный функционал решений, но и аппаратную реализацию под самые разнообразные цели:
- • бескорпусные аппаратные ключи для монтажа на материнские платы;
- • готовые крипточипы с поддержкой различных интерфейсов для встраивания в защищаемые аппаратные комплексы;
- • высокоскоростные Compact Flash карты с дополнительной флэш-памятью;
- • мобильные Secure Digital карты для промышленных ноутбуков и устройств;
- • уникальные микро Secure Digital карты для применения как в сотовых, так и в размерозависимых системах (“computer on module”).
Новейшие аппаратные решения защиты уже сегодня начинают широко применяться в промышленных системах, выполняющих различные функции (контроллеры, ЧПУ, управляющие комплексы и тд.). Инновационные технологии совмещения хранилища и защиты позволяют полностью обезопасить программный комплекс и все его составляющие (ресурсы, файлы, данные) от направленных атак, отдельно организовав хранение данных на флэш-памяти самого устройства. Удобством такого внедрения является возможность хранения на флэш-памяти не только защищаемого программного продукта, но и самой операционной системы, что может значительно повысить уровень контроля и безопасности. Предлагаемая модель полностью удовлетворяет технологическим параметрам мобильности встраиваемой системы, обеспечивая высокую степень защиты программного продукта.
Миф переходит в реальность
Ещё несколько лет назад даже самые оптимистичные аналитики не смогли бы предсказать появление мобильной защиты с интерфейсами карт-памяти. И если подобная технология совмещения уменьшенных форм-факторов и чипов памяти уже знакома рынку по внедрениям в системах аутентификации и хранилищах ключей (“токен”), то реализация применительно к средствам защиты цифровых прав (DRM) становится новостью номер один в кругах мировых разработчиков.
Применение новых средств защиты для устоявшихся рынков позволит значительно расширить спектр реализации таких решений, что играет немаловажную роль при выходе компании на новые рынки. Переоценить новшества выпускаемой защиты для промышленных систем невозможно.
Необходимо отметить, что выходящие аппаратные средства защиты обязательно займут свою нишу на рынке: разработчики, пристально следящие за рынком безопасности, уже переходят с программных средств защиты на аппаратные или задумываются об этом. Оставаясь целенаправленным решением, мобильные варианты защиты могут быть внедрены не только в дорогостоящих проектах крупной промышленности, но и в массовых продуктах потребительских отраслей.
Между потребительским и промышленным рынками
Встраиваемые системы для многих в повседневности остаются чем-то далёким и малозаметным, но именно внутренняя “встраиваемая” реализация скрывает подобные системы от глаз “прохожих”. ЧПУ системы на панельных компьютерах с сенсорным управлением, применяемые в энергетике и нефтегазовой промышленности, в общей логике процессов являются лишь более ёмкими и комплексными версиями платёжных терминалов и банкоматов. Или, например, сложные блоки программируемых контроллеров, пришедшие на замену статическим реле, разработанные для замеров потоков жидкостей и газов, электричества или контроля других задач в промышленности, получают второе дыхание в потребительской отрасли как образующие блоки для “Умных домов”. Очень скоро наступит время, когда свет, свежий воздух, еда и электричество в каждом доме смогут быть под управлением сложных программных комплексов, которые будут базироваться на программируемых контроллерах.
Внедрение встраиваемых систем способствует увеличению темпов роста атак киберпреступников на подобные программные комплексы. Массовость технологии приведёт к тому, что злоумышленники непременно обратят своё внимание на новые виды комплексных сенсорных платёжных терминалов, банкоматов, систем управления умных домов, автоматизированных систем и многое другое, что оставалось для них вне поля незаконных интересов. По оценкам аналитиков, в такой среде неизбежно произойдёт обратный процесс, когда взломы потребительских систем позволят наработать достаточную базу для взлома уже промышленных комплексов и продажи таких технологий.
Наряду с уже имеющимися рисками промышленного шпионажа, нечестной конкурентной борьбы или взлома на конечной точке применения, компании-разработчики окажутся под ударом массового характера, что неизбежно потребует новых и прежде всего адекватных по уровню безопасности и реализации средств защиты, которыми могут стать новые инновационные аппаратные комплексы.
Олег Глебов, Ведущий технический специалист Rainbow Security
Обратная разработка (обратный инжиниринг, реверс-инжиниринг; англ. reverse engineering) —
процесс незаконного восстановления исходных элементов и кода из конечного продукта инженерной и/или научной деятельности.
